爬虫卖钱，离进去只差一副手铐(案中说法28|计算机刑事风险)

【案中说法】

各位，国庆快乐！不知不觉就爬虫话题先后完成了多篇介绍，今日补齐爬虫基础系列最后一块板。

爬虫系列如下：

(1)什么是爬虫：RPA的前世今生，技术性介绍；

(2)民事和行政管理风险：数据合规与反不正当竞争，以及抢票灰产；

(3)刑事风险1：下游非法获取数据（同网络钓鱼），以及数据量与刑期；

(4)刑事风险2：工程师卖工具、工程师亲自下场搞数据，本篇。

案1。被告人张某某为获取非法利益，为他人开发、维护数据爬虫软件，软件用于侵入某甲公司、某乙公司催收系统中，非法获取债务人的姓名、手机号、身份证号码、紧急联系人等脱敏信息。期间，被告人张某某共计获利9400元。被抓获到案后如实供述，退款。犯提供侵入计算机信息系统程序罪。摘自 (2025)闽0427刑初62号。

案2。被告人呙某某通过ＳＱＬ注入漏洞以及编写爬虫脚本的方式，侵入计算机信息系统，获取计算机系统内存储的大量数据，其中涉及到个人信息的数量约为1500万余条。其获取的个人信息通过ＱＱ销售，从中获利约54万余元。被抓获到案。犯非法获取计算机信息系统数据罪。摘自 (2020)鲁02刑终108号。

都是爬虫获利，为何有的适用行政处罚，有的被公诉？

爬虫行为面临的法律后果不同，是法律实践中一个复杂且关键的区别点。同样是“爬虫获利”的行为，之所以会出现有的适用行政处罚（属于行政违法），有的被公诉（涉嫌刑事犯罪），其根本原因在于行为的社会危害性程度不同。

法律对行为的评价是一个阶梯式的结构：

一般违法（社会危害性较轻）->行政处罚；

严重违法（社会危害性达到一定程度）->刑事犯罪->公诉。

在行政监管领域，《反不正当竞争法》对利用爬虫从事不正当竞争的，处十万元到五百万元以下的罚款。其保护法益为“市场竞争秩序”、“经营者或者消费者的合法权益”。

在民事领域，可以依据侵权和不当得利来维护权益。

而在刑事领域，爬虫涉刑法第285条【非法侵入计算机信息系统罪；非法获取计算机信息系统数据、非法控制计算机信息系统罪；提供侵入、非法控制计算机信息系统程序、工具罪】，属于第六章妨害社会管理秩序罪下第一节扰乱公共秩序罪。从其入罪标准看，要么是侵入国家事务、国防建设、尖端科学技术等特定领域的系统（危害性大），要么是在其他领域达到‘情节严重’的标准。而司法实践对‘情节严重’有清晰的量化标准。

本文案1中，技术人员仅开发、出售爬虫程序，没有亲自下场运行爬虫、采集数据，法院判决犯提供侵入计算机信息系统程序罪，判处有期徒刑六个月，缓刑一年，并处罚金人民币七千元。

而案2中，构成非法获取计算机信息系统数据罪。虽辩护人提出编写爬虫脚本获取数据的行为不具有违法性，采用此手段获取的信息数量及对应的犯罪数额应当扣除，且一审判决认定非法获取的个人信息数量错误，对应的犯罪数额应予扣除。二审法院认为未经网站授权，利用漏洞，编写爬虫脚本入侵，批量获取公民信息数据并用于出售。技术手段具有非法性,用该手段获取的信息数量及对应的犯罪数额均不应扣除。上诉人在计算机中存储的1500余万条公民个人信息数据，均系其非法获取。该部分信息内容是否重复、公开程度及有效性不影响其获取方式的非法性。其通过出售计算机系统数据所获得的犯罪数额，均不应予以扣除。维持判决有期徒刑五年，并处罚金人民币二万元。

博主认为，案2中的数据是否重复问题，二审法院判词没有讲透。不确认辩护人对该问题是否有特别认识。博主琢磨，该案是因获利数额大达到情节特别严重，因此数据重复问题对刑期没有影响。

数据量，是一个特别抽象的量，单纯看数字，仅具有统计意义，而忽略了个体差异，忽视了数据量对刑期的影响。

对于1000条数据，

（1）如果去重后为500个人信息，则侵犯了500条个人信息，可以侵犯公民个人信息罪论。

（2）如果去重后为400个账号，是分3次从同一个系统中获取，则可能达不到入罪标准。

（3）如果去重后为400个账号，是从控制的同一个系统之20台节点中获取，则可能刚达到情节严重标准。

（4）如果去重后为400个账号，打包后分别卖给100人，累计卖得5000块，则可能刚达到情节严重标准。

因此，对于涉计算机辩护，对数据量计算方式、数据来源、危害计算机节点数和系统数等，均可以对标司法解释，制定辩护策略。